---

此翻譯僅為方便而提供。本文件的英文版本為具有法律約束力的協議。

最後更新：2025年7月16日

Blue 為您的關鍵流程提供企業級安全性和無縫擴展性。專為高可用性而設計，深受120多個國家的15,000多個團隊信賴，Blue 讓您的全球營運充滿信心。

我們的平台建立在強大的架構之上，從核心優先考慮安全性和擴展性。我們了解隨著您的業務增長，您的專案管理需求也會演變，Blue 旨在與您一起成長。無論您是小團隊還是大型企業，我們的系統都能高效且安全地處理您的工作負載。

安全且可擴展的平台

Blue 確保為您的專案管理需求提供最高級別的安全性和擴展性。我們的企業級措施保護您的資料並使您能夠無限制地成長。

我們實施了深度防禦安全架構，具有多個保護層：

API 保護

• 智能速率限制：特定於操作的限制可防止濫用，同時保持可用性（例如，一般操作5次請求/60秒，匯出1次請求/50秒）
• 查詢深度限制：最大10層深度，以防止循環 GraphQL 查詢攻擊
• 請求大小限制：GraphQL 操作256MB，直接檔案上傳有更大的限制
• 安全標頭：Helmet.js 整合提供 X-Frame-Options、X-Content-Type-Options 和其他保護標頭

資料保護

• 輸入淨化：所有使用者生成的 HTML 內容都使用白名單方法進行淨化
• SQL 注入防護：透過 Prisma ORM 的參數化查詢消除 SQL 注入風險
• XSS 保護：伺服器端淨化和 Vue.js 模板轉義都可防止跨網站腳本攻擊
• 檔案上傳驗證：所有上傳的 MIME 類型驗證、擴展驗證和檔名淨化

企業級加密

Blue 實施軍用級 AES-256-GCM 加密和認證加密，以保護您的敏感資料。

我們使用 AES-256 加密的 Galois/Counter Mode (GCM)，並使用100,000次迭代的 PBKDF2 金鑰衍生。這種認證加密不僅保護您的資料，還確保資料未被篡改。每次加密操作都使用唯一的鹽值和初始化向量 (IV)，使每個加密資料在密碼學上都是唯一的。您的設備和我們伺服器之間傳輸的所有資料都使用 TLS 1.2 或更高版本進行加密，WebSocket 連接會自動升級到 WSS (WebSocket Secure) 以實現即時功能。

進階保護系統

Blue 採用多層自動保護來確保平台安全性和可靠性。

即時保護

• 按操作的速率限制：不同的 API 操作具有量身定制的速率限制（一般操作5次請求/60秒，匯出1次請求/50秒，安全敏感操作3次請求/60秒）
• 自動威脅檢測：身份驗證失敗嘗試和可疑模式會觸發自動保護措施
• 查詢複雜性分析：深度 GraphQL 查詢限制為10層，並記錄接近限制的查詢
• CORS 和 CSRF 保護：跨來源請求經過適當憑證驗證和 SameSite cookie 屬性

基礎設施安全

• Redis 支援的速率限制：所有伺服器的分散式速率限制確保一致的保護
• 安全檔案處理：檔案上傳經過 MIME 類型、擴展和大小限制驗證（GraphQL 256MB，直接4.8GB）
• 基於環境的安全性：開發、測試和生產環境的不同安全配置
• 金鑰輪換支援：存取和更新權杖的獨立秘密啟用獨立金鑰輪換

多層認證與授權

Blue 實施複雜的認證系統，具有多層保護。

認證方法

• 雙權杖 JWT 系統：短期存取權杖（15分鐘）與較長的更新權杖（60天）配對，最小化暴露窗口
• 個人存取權杖 (PAT)：用於 API 整合，儲存前使用 bcrypt 雜湊，並在每次請求時驗證
• Firebase Authentication：與網頁和行動應用程式的無縫整合，具有自動權杖管理
• 基於電子郵件的安全碼：用於敏感操作的時間限制碼，使用後自動清理

細粒度授權

我們的 GraphQL API 使用 Shield 中介軟體在欄位級別強制執行權限。我們實施基於角色的存取控制 (RBAC)，具有六個不同的權限級別：擁有者、管理員、成員、客戶、僅檢視和僅評論。這些權限具有情境感知性，為每個操作檢查公司級別和專案級別的存取權限。

除了標準角色外，Blue 還支援自訂使用者角色，可實現更細粒度的存取控制。組織可以建立具有特定權限的客製化角色，如 canCreateRecords、canEditRecords、canDeleteRecords 和 canViewAnalytics，允許精確控制每個團隊成員可以執行的操作。自訂角色可以應用於公司和專案級別，在不同專案中啟用不同的權限集。特殊規則處理已歸檔的專案和非活躍公司，以確保即使在邊緣情況下資料仍然受到保護。

持續安全監控

Blue 實施全面監控以維護安全完整性。

我們的系統包括對安全事件、身份驗證失敗嘗試和異常存取模式的即時監控。速率限制自動防止暴力攻擊，而查詢深度限制則保護免受資源耗盡。所有與安全相關的事件都會記錄詳細的稽核軌跡，能夠快速調查任何可疑活動。

每日資料備份

您的資料每天備份，以確保資料完整性並在需要時實現快速災難恢復。

我們對所有客戶資料執行自動每日備份，將這些備份儲存在安全、地理分散的位置。此外，我們的平台實施全面的會話安全：

會話管理

• 安全 cookies：所有會話 cookies 使用 httpOnly（防止 JavaScript 存取）、secure（僅HTTPS）和 sameSite='strict'（CSRF 保護）標誌
• 權杖輪換：更新權杖在登入時自動輪換，以防止權杖重放攻擊
• 域隔離：透過域特定的 cookie 設定實現多租戶安全
• 自動過期：會話在定義期間後過期，並安全清理認證工件

技術安全實施

Blue 的安全性建構在我們應用程式架構的每一層中。

前端安全

• 不在本地儲存權杖：認證權杖由 Firebase SDK 管理，從不儲存在 localStorage 中
• 自動權杖更新：權杖在過期前無縫更新
• 路由防護：每個頁面在渲染前驗證使用者權限
• 表單驗證：在伺服器提交前使用 VeeValidate 進行全面的客戶端驗證

後端安全架構

• GraphQL Shield：每個 API 操作都受到特定權限規則的保護
• Prisma ORM：類型安全的資料庫查詢防止注入攻擊
• Redis 支援的系統：速率限制和會話管理使用 Redis 提高效能和可靠性
• 稽核記錄：記錄安全敏感操作以符合合規性和除錯

密碼與權杖安全

• BCrypt 雜湊：所有密碼和個人存取權杖都使用適當工作因數的 bcrypt
• 無明文儲存：敏感資料從不以可讀格式儲存
• 安全比較：時間安全比較函數防止時序攻擊
• 一次性代碼：安全碼使用後立即失效